迅雷安全中心不安全，可重置指定妹子帐号 - 网

1.还记得OAuth2的那个问题么？为什么没有人把这个思路扩散下呢！下面看我如何重置妹子帐号吧！

2.为测试迅雷安全中心是否存在问题，我特意注册了一个新的帐号，登录迅雷安全中心：

 

3.绑定一个安全邮箱吧！我为了测试，准备绑定一个QQ邮箱，点击【发送邮件】，注意设置好代理，拦截请求不要真的发送：

 

3.我擦，原来是一个GET请求:

漏洞 证明：

4.没错这个绑定邮箱的GET请求没有防范CSRF。参数mail肯定是需要绑定指定的邮箱，参数jsoncallback的值是否为临时生成的呢？为了解开这个疑惑，我注册并登陆了另一个账号，然后直接访问上述链接吧！没错,看返回：

 

实测，json callback参数不设置也仍然可以。

5.再看邮箱，给我发了一封[亲爱的雷友]的邮件！

 

6.点击它吧！成功绑定并激活！  

查看更多关于迅雷安全中心不安全，可重置指定妹子帐号 - 网的详细内容...